Con el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, nos encontramos de nuevo con una normativa aprobada para dar respuesta a una situación muy concreta y sin haber analizado en profundidad la totalidad de ámbitos a los que les va a resultar de aplicación.
De forma similar al reiterado debate sobre el uso del cifrado y la lucha contra la delincuencia, la norma menciona nuevas amenazas como el robo de datos e información, el hackeo (sic) de dispositivos móviles y sistemas industriales, o los ciberataques contra infraestructuras críticas y cómo se ha incrementado el riesgo de utilización del ciberespacio para la realización de actividades ilícitas para justificar estas nuevas potestades.
Con una referencia en abstracto a “los recientes y graves acontecimientos acaecidos en parte del territorio español”, sin mencionar expresamente, se atribuye a la Administración del Estado una serie amplia de competencias, que afectan tanto al ámbito público como privado. Conceptos como “república digital” o los “paraísos digitales”, han sido mencionados desde los estamentos políticos como causa, pero el problema es que estas competencias tienen una vocación de permanencia, afectan de manera grave a los derechos de los ciudadanos y ni tan siquiera se circunscriben únicamente al territorio para el cual se ha procedido de urgencia a esta modificación.
De fondo de esta norma tenemos dos actuaciones principales cuyo control se ha arrogado la Administración del Estado: El despliegue de una red de fibra óptica en régimen de autoprestación por parte de la Generalitat, y el proyecto de identidad soberana IdentiCAT.
Respecto a la primera, resulta extraño que se entienda que la habilitación ya existente en la Ley General de Telecomunicaciones era insuficiente y resultaba urgente su modificación. Con la nueva redacción, el uso de términos abstractos como orden público, la seguridad pública o la seguridad nacional como supuestos de habilitación, supone al final crear un marco de inseguridad jurídica inadmisible. Hablamos de competencias que, como el mismo texto señala, alcanzan no únicamente a una red o un servicio de comunicaciones electrónicas, sino que extienden su eficacia a los elementos que necesariamente acompañan a la instalación o despliegue de una red, o la prestación de un servicio de comunicaciones electrónicas como son las infraestructuras susceptibles de alojar redes públicas de comunicaciones electrónicas, sus recursos asociados o cualquier elemento o nivel de la red o del servicio que resulte necesario.
Nos encontramos asimismo con una serie de habilitaciones para adoptar medidas cautelares, sin audiencia, por parte del Ministerio de Economía y Empresa, y que también se amplían para incluir la excesivamente genérica referencia al orden público y seguridad pública. Una actuación que puede afectar a múltiples derechos de los afectados y que, sin perjuicio del control judicial a posteriori, sería tomada directamente por la Administración del Estado. La introducción de esta habilitación resulta, de nuevo, muy discutible que se realice en un Decreto Ley.
Por lo que respecta a los nuevos modelos de identidad digital basados en blockchain, la norma opta por establecer de manera expresa que no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados los sistemas de identificación basados en estas tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea, además de reservarse un puesto como autoridad intermedia cuando resulte ya exista dicha normativa.
El problema es que, en realidad, existe múltiple normativa ya aplicable a estos sistemas de identificación, empezando por el sistema europeo de reconocimiento de identidades electrónicas (o eIDAS), y siguiendo por normativas tan presentes como son las relativas a la protección de datos de carácter personal.
Tal y como pasó en la Sentencia del Tribunal Constitucional 55/2018, la legitimidad de esta injerencia en el ámbito de competencias de autoorganización de una administración autonómica resulta discutible, más cuando se incluye una obligación adicional muy importante como es la de ser autoridad intermedia en el futuro en estos sistemas.
Aunque tuvieran presente el proyecto catalán durante la redacción del Decreto Ley, la realidad es que otros territorios estaban empezando a plantear el desarrollo de soluciones de este tipo, y no se trata de una tecnología que haya sido diseñada para realizar actuaciones ilícitas. En informes del observatorio de Blockchain de la Unión Europa aparecen mencionadas expresamente estas tecnologías de identidad autosoberana como mecanismos que permitirían dar a los usuarios el control no solo de su identificador, sino también de toda la información asociada al mismo.
Una prohibición que al final va a afectar el desarrollo de una tecnología neutra y útil, bajo la excusa de una falta de regulación no resulta admisible, y menos, en una norma que ha sido aprobada por la vía de urgencia como es el Decreto Ley.
Se habla de la imposibilidad de reaccionar a tiempo a causa de la disolución de las Cámaras, de la necesidad de dar una respuesta, pero se proponen una serie de modificaciones relativas a normas que ya se encuentran en vigor desde hace años en algunos casos, o innecesarias en otros, además de nuevas habilitaciones que pueden llegar a vulnerar derechos fundamentales.
Esta norma no debe ser únicamente analizada desde la perspectiva exclusiva de una comunidad autónoma y una situación puntual en el tiempo. Lo importante no son las declaraciones que se han realizado respecto a su objetivo. Su ámbito de aplicación no se limita a esta, y al final constituye una injerencia importante en los derechos de los ciudadanos.